功能

• 访问令牌（Access Token）：用于访问受保护资源。持有该令牌的客户端可以凭借它向资源服务器发起请求，获取用户授权范围内的资源。例如，客户端获取到访问令牌后，可使用它调用用户的照片资源接口，获取用户照片。
• 刷新令牌（Refresh Token）：用于获取新的访问令牌。当访问令牌过期时，客户端可以使用刷新令牌向授权服务器请求新的访问令牌，而无需用户重新进行授权操作。

有效期

• 访问令牌（Access Token）：有效期较短。这是出于安全考虑，较短的有效期能降低令牌泄露带来的风险，即使令牌被截获，攻击者利用它的时间也有限。例如，常见的有效期可能是几分钟到几小时。
• 刷新令牌（Refresh Token）：有效期较长。因为它用于在访问令牌过期时获取新的访问令牌，若有效期也很短，就可能频繁要求用户重新授权，影响用户体验。它的有效期可能是几天、几周甚至几个月。

使用场景

• 访问令牌（Access Token）：在客户端需要访问用户受保护资源时使用。每次向资源服务器请求资源，都需携带访问令牌进行身份验证和授权检查。比如，移动应用调用用户的社交媒体动态接口时，使用访问令牌获取数据。
• 刷新令牌（Refresh Token）：当访问令牌过期，客户端希望继续访问受保护资源，且不想让用户重新授权时使用。例如，用户在使用应用过程中，访问令牌过期，应用可利用刷新令牌获取新的访问令牌，用户无需重新登录和授权，仍能正常使用应用功能。